Elszabadult a FinFisher?

A FinFisher kémprogramot eredetileg a brit Gamma International cég készítette elsősorban a kormányzati hírszerző szervezetek számára. A káros szoftver először akkor kapott nagyobb nyilvánosságot, amikor a megbuktatott egyiptomi rezsim elhagyott irodáiban olyan dokumentumokra bukkantak, amelyből kiderült, a Gamma International tárgyalásokat folytatott az egyiptomi titkosrendőrséggel a szoftver megvásárlásáról.

Az utóbbi időben a FinFisher ismét a híradások középpontjába került, mivel néhány hónapja pár bahreini számítógépes szakember egy furcsa kártékony szoftverre hívta fel a figyelmet, amelyről az elemzések során kiderült, kísértetiesen hasonlít a Gamma International programjához. A cég szóvivői tagadják, hogy Bahreinbe értékesítették volna kémprogramjukat, és azt állítják előfordulhat, hogy FinFisher egy bemutató példányát lopták el tőlük. A Bahreinben talált káros szoftver minták alapján a Rapid7 biztonsági cég készített egy elemzést, amely a következő jellemzőket mutatja:

  • A káros szoftver elektronikus levél csatolmányaként érkezett “RAR” kiterjesztéssel.
  • A tömörített állomány számos Word dokumentumot illetve képet, valamint néhány futtatható állományt tartalmazott.
  • A futtatható állományok listája:
    – dialoge.exe (MD5: ee5b03b5990dc310b77aac1d32da68de)
    – gpj.1egami.exe (MD5: e82647e42868e0ff0b6357fcf0f6e95f)
    – gpj.stcepsuS detserrA.exe (MD5: b6d700a58965692e92dce5dbc4323391)
    – gpj.bajaR.exe (MD5: d1216d3fd238cd87d9a7e433b6892b98)
    – gpj.1bajaR.exe (MD5: ad6f72b851ebcf7bf7c8b1c551140c5f)
  • A szóban forgó káros szoftver a Virustotal számára már ismert, a következő linken megtalálhatja, hogy mely vírusirtók nyújtanak védelmet a FinFisher-rel szemben, és azt milyen néven azonosítják.
    https://www.virustotal.com/file/cc3b65a0f559fa5e6bf4e60eef3bffe8d568a93dbb850f78bdd3560f38218b5c/analysis/
  • A Bahreinben felfedezett variáns a 77.69.140.194 IP cím felé kezdeményez kommunikációt a 22, 53, 80 vagy 443 portokon keresztül. Ha valamelyik porton sikerül kiépítenie a kapcsolatot, akkor a továbbiakban ezt használja a C&C infrastruktúrával történő kommunikációra.
  • Az elemzés során a következő további C&C szervereket sikerült azonosítani:
    – 112.78.143.26 (Indonézia)
    – 121.215.253.151 (Ausztrália)
    – 78.100.57.165 (Katar)
    – 213.55.99.74 (Etiópia)
    – 94.112.255.116 (Csehország)
    – 213.168.28.91 (Észtország)
    – 54.248.2.220 (Egyesült Államok)
    – 202.179.31.227 (Mongólia)
    – 80.95.253.44 (Csehország)
    – 81.198.83.44 (Litvánia)
    – 86.97.255.50 (Egyesült Arab Emirátusok)

A FinFisher káros szoftverről és a Bahreinben talált mintáról az alábbi linkeken talál bővebb információt.

https://community.rapid7.com/community/infosec/blog/2012/08/08/finfisher
http://tech.cert-hungary.hu/tech-blog/111201/egy-apple-itunes-hiba-kihasznalasaval-kemkedtek-a-bunuldozo-szervek
http://tech.cert-hungary.hu/tech-blog/110427/egy-brit-ceg-kemkedesre-alkalmas-szoftvert-ajanlott-egyiptomnak
http://tech.cert-hungary.hu/tech-blog/111123/itunes-hibat-kihasznalva-kemkedik-utanunk-a-kiberkopo